¿Cómo puede afectar una ciberamenaza a las compañías del sector aéreo? ¿qué medidas tomaron al respecto en 2020?
Como sabemos, las ciberamenazas no dejan de crecer año tras año afectando a todos los sectores. A esta creciente tendencia, tenemos que sumar el año sin precedentes que hemos vivido y que tiene su continuidad en este 2021 con la persistencia de la pandemia actual.
Por un lado, tanto a aerolíneas como a aeropuertos y demás compañías del sector aéreo nos pueden afectar las mismas amenazas digitales que sufren otras organizaciones. Entre los ataques más habituales encontramos el ransomware (o su versión más reciente, doxing) o aquellos que atentan contra la cadena de suministro.
Por otro lado, concretamente en nuestro sector, debemos hacer frente a ciberamenazas que atentan contra la privacidad y protección de los datos personales de nuestros pasajeros, así como amenazas contra los sistemas que gestionan nuestra operativa de vuelos diaria.
Además, durante el año pasado tuvimos que adaptar nuestro Plan Maestro de Ciberseguridad para dar cabida a las nuevas amenazas digitales surgidas alrededor de la pandemia Covid-19. Y, en consecuencia, ajustar los procedimientos internos para el uso extendido del teletrabajo entre nuestros empleados.
¿Ha habido un incremento de la inversión en ciberseguridad por parte de su sector en los últimos años? ¿se ha convertido en un tema prioritario?
Durante los últimos años, hemos ido incrementando la inversión en ciberseguridad, para poder acometer nuestro Plan Maestro de Ciberseguridad, que nos permita fortalecer nuestras ciberdefensas ante las crecientes amenazas que comentábamos anteriormente.
Gracias a una mayor concienciación de nuestros directivos y empleados, a la vez que ha aumentado la visibilidad en nuestra sociedad, hemos convertido la ciberseguridad en un eje clave y prioritario para Volotea.
Una de las crecientes preocupaciones es la seguridad de los datos almacenados en la nube. ¿qué infraestructuras y sistemas se han de crear para garantizar la seguridad de la información y la fuga de datos?
El hecho de querer migrar a la nube, o directamente construir digitalmente en ella, nos debe hacer pensar en una fase inicial de diseño donde será muy importante que tengamos en cuenta, entre otros, los siguientes principios: mínimo privilegio, mínima superficie de exposición y seguridad por capas.
Partiendo de estos tres principios, podremos empezar a garantizar la seguridad de nuestra información y, así, minimizar el riesgo de fuga de datos al que todos, sin excepción, estamos expuestos.
Además, debemos conocer muy bien nuestros datos, su tipología, cantidad de registros, lugar de almacenamiento, stakeholders que van a consumir los mismos, así como cumplir con los reglamentos y normativas que legislan su correcta gestión. Sin este estudio previo y exhaustivo, no será posible su securización de forma óptima.
Una vez conoces el dato, debemos bastionarlo tanto en tránsito como en reposo asegurando su disponibilidad, integridad y confidencialidad para, a continuación, establecer unos sistemas de backup y monitorización que nos permitan, por un lado, recuperarnos ante desastres y/o ciberataques y, por otro, realizar análisis ante anomalías que se produzcan.
Por último, no debemos cometer el error de pensar que por el simple hecho de almacenar datos en la nube éstos van a estar seguros de inicio. El proveedor de servicios cloud nos ofrecerá un modelo de responsabilidad compartida donde, nosotros, tendremos que velar por la seguridad de nuestros datos haciendo uso, si así lo deseamos, de las múltiples herramientas que pondrán a nuestra disposición.
Con respecto a la verificación de identidad y los datos de los viajeros, ¿qué soluciones utilizan para gestionarlos y preservarlos?
Siguiendo lo indicado al inicio, nos basamos en el principio de mínimo privilegio donde el acceso a los datos de nuestros clientes está acotado a un número limitado de usuarios que, a su vez, dispondrán de doble factor de autenticación (2FA) para proteger su identidad digital.
Por otro lado, y para cumplir con el estándar de seguridad PCI-DSS, los datos de las tarjetas de crédito de nuestros clientes residen en centros de datos que cumplen con PCI, además de ofrecer un proceso de pago seguro al realizar la compra de un billete.
Por último, y para cumplir con el Reglamento europeo RGPD, nuestros clientes pueden contactar con nuestra oficina de protección de datos para ejercer sus derechos. En este caso, siempre verificamos su identidad antes de procesar cualquier solicitud recibida.
Ante la venta de información como claves, contraseñas o números de cuenta, que se pueden vender fácilmente en la Deep Web, ¿es algo que afecte en especial a su empresa? ¿han detectado un aumento en los últimos años?
Considero que nadie está a salvo de estos riesgos digitales.
Para poder hacer frente a esta amenaza, creemos que es muy importante disponer de un servicio de Threat Intelligence que monitorice de manera constante nuestros principales activos, tanto humanos como tecnológicos, en foros, webs, redes sociales, repositorios de código, etc. de la clear, deep y dark web.
Esta gestión de inteligencia de amenazas también nos ayuda a descubrir otras acciones maliciosas que podrían atentar contra Volotea, como cybersquatting o campañas de phishing, entre otras.
